In data 11 maggio 2023, il Parlamento europeo ha votato contro l’adozione di una decisione di adeguatezza che giudichi il livello di tutela dei dati personali negli Stati Uniti come sostanzialmente equivalente a quello dell’Unione. In particolare, i deputati del Parlamento europeo hanno adottato una risoluzione[1] con cui hanno richiesto alla Commissione di non adottare una decisione di adeguatezza sulla base dell’accordo raggiunto tra Unione e Stati Uniti sul Trans-Atlantic Data Privacy Framework.
In data 25 marzo 2022, la Commissione e gli Stati Uniti avevano concluso un accordo sullo scambio transatlantico di dati personali[2], in cui gli Stati Uniti si impegnavano ad adottare riforme per una maggiore tutela della privacy nell’ambito delle attività di intelligence dell’amministrazione pubblica statunitense, al fine di porre rimedio alle carenze identificate dalla Corte di Giustizia dell’Unione nella sentenza Schrems II[3]. Con l’accordo gli Stati Uniti si sono impegnati, tra le altre cose, a mettere in atto nuove salvaguardie per assicurare che le attività di intelligence siano necessarie e proporzionate al perseguimento di pre-determinati obiettivi di sicurezza nazionale, a prevedere meccanismi di ricorso e la possibilità di disporre rimedi per eventuali violazioni, nonché a migliorare la supervisione sulle attività di intelligence. L’accordo è stato successivamente implementato negli Stati Uniti con la firma da parte del presidente degli Stati Uniti Joe Biden dell’ordine esecutivo n. 14086 nell’ottobre 2022. Dopo aver preso atto dell’implementazione dell’accordo negli Stati Uniti, la Commissione aveva predisposto, in data 13 dicembre 2022, una bozza di decisione di adeguatezza per i trasferimenti di dati personali tra gli Stati Uniti e l’Unione[4]. La decisione di adeguatezza è una delle basi per il trasferimento di dati personali verso paesi terzi o organizzazioni internazionali ai sensi dell’articolo 45 del GDPR[5]. Si tratta di un atto di esecuzione con cui la Commissione conclude che un paese terzo o un’organizzazione internazionale garantiscono un livello di protezione adeguato di dati personali, come valutato sulla base di una serie di elementi elencati nell’articolo 45, comma 2, del GDPR. Una volta che una decisione di adeguatezza è stata adottata in relazione a un paese terzo o un’organizzazione internazionale, il trasferimento di dati personali verso detto paese terzo o organizzazione internazionale non necessita di specifiche autorizzazioni. Pertanto, la decisione di adeguatezza è uno strumento che facilita significativamente le attività transfrontaliere che necessitano lo scambio di dati personali tra due paesi e, nel caso specifico degli Stati Uniti, rappresenterebbe un importante punto di svolta per avere finalmente una conclusione alla saga avviatesi sin dal giudizio Schrems II del 2020. Per questa ragione, la Commissione ha inserito tra le sue priorità l’adozione di una decisione di adeguatezza per gli Stati Uniti, anche in considerazione della loro importanza per l’Unione come partner politico e commerciale. Gli Stati Uniti sono sede di alcune tra le più importanti aziende tech a livello mondiale, il che implica lo scambio regolare di ingenti flussi di dati con l’Unione.
La risoluzione del Parlamento europeo contro l’adozione della bozza di decisione di adeguatezza è stata adottata con una significativa maggioranza (306 voti a favore, 27 contrari e 231 astenuti). La risoluzione non è legalmente vincolante per la Commissione, in quanto l’atto di esecuzione con cui può essere disposta la decisione di adeguatezza è adottato a seguito dell’approvazione da parte di un comitato composto da rappresentanti degli Stati membri[6], senza che sia necessaria l’approvazione del Parlamento. Tuttavia, il peso politico della risoluzione potrebbe motivare la Commissione a rivedere i propri piani e tentare di colmare le lacune evidenziate dagli eurodeputati, soprattutto alla luce del rischio che la nuova decisione di adeguatezza sia annullata in futuro dalla Corte di Giustizia.
Le principali problematiche evidenziate dal Parlamento nella risoluzione riguardano l’istituzione di una nuova corte, le incertezze che continuerebbero a circondare il trattamento di dati personali negli Stati Uniti, e l’assenza di informazioni su come le nuove norme adottate dagli Stati Uniti saranno applicate in concreto.
Quanto al nuovo tribunale istituito da parte degli Stati Uniti per assicurare la disponibilità di rimedi per gli interessati i cui dati personali sono sottoposti a trattamento (la ‘Data Protection Review Court’), gli eurodeputati hanno rilevato criticità in connessione al fatto che le decisioni del tribunale rimarrebbero segrete, così violando il diritto degli interessati all’accesso e alla rettifica dei dati personali che li riguardano. Difatti, il ricorrente sarebbe informato solo del fatto che la procedura abbia identificato o meno alcuna violazione della normativa privacy, e delle misure adottate di conseguenza, oltretutto senza avere la possibilità di ricorrere in appello dinanzi ad una corte federale. Inoltre, il tribunale non può essere considerato un organo indipendente dal potere esecutivo, poiché il presidente degli Stati Uniti ha la facoltà di rimuovere i giudici nel corso del loro mandato, nonché annullare le decisioni del tribunale, anche in segreto. Pertanto, il Parlamento vede il tribunale come facente parte del potere esecutivo, piuttosto che del potere giudiziario, e lo ritiene non conforme agli standard di indipendenza ed imparzialità di cui all’articolo 47 della Carta europea, a cui la Commissione dovrebbe ispirarsi nel giudicare sull’adeguatezza del livello di tutela dei dati personali in un ordinamento di un paese terzo. In conclusione, secondo il Parlamento la decisione di adeguatezza non può essere adottata fintantoché non sia posto rimedio a queste carenze.
Il Parlamento ha evidenziato come l’attuale normativa statunitense sul trattamento dei dati personali continui a presentare importanti carenze. Oltre a non esservi ancora un’unica normativa federale sulla tutela dei dati personali, l’ordine esecutivo non fornisce sufficienti garanzie per gli interessati in relazione al trattamento per le attività di intelligence. Nonostante il riconoscimento che l’ordine esecutivo ha apportato importanti miglioramenti sulla proporzionalità e necessità delle restrizioni ai diritti degli interessati, il Parlamento ha identificato numerose criticità e carenze nel testo dell’ordine esecutivo. Tra le più importanti, la risoluzione parlamentare osserva che definizioni legali ed interpretazione dei principi sanciti nell’ordine esecutivo sono differenti dalle corrispondenti nozioni nel diritto dell’Unione, che gli obiettivi di sicurezza pubblica che giustificano il trattamento di dati personali sono definiti in senso ampio e possono essere modificati dal presidente degli Stati Uniti, che non vi sono chiare e precise disposizioni sulla conservazione dei dati personali, e che rimane la possibilità, in determinati casi, di effettuare raccolte di massa di dati senza dover ottenere un’autorizzazione preventiva indipendente. Quest’ultima carenza risulta particolarmente problematica alla luce di quanto già affermato dalla Corte nel caso Schrems II sulla necessità di un criterio oggettivo per giustificare un’interferenza governativa nella privacy delle persone fisiche. Al di là delle osservazioni riguardanti il trattamento per finalità di intelligence, la risoluzione segnala anche che l’ordine esecutivo non trova applicazione ai casi in cui autorità pubbliche acquisiscano dati personali su altre basi, ad esempio tramite l’US Patriot Act e l’US Cloud Act, né ai casi in cui i dati siano acquisiti attraverso l’acquisto di dati commerciali o condivisione volontaria.
Infine, il Parlamento ha richiamato il principio affermato costantemente dalla Corte, da ultimo nella sentenza Schrems II, secondo cui l’adeguatezza della normativa di un paese terzo deve essere valutata non solo tenendo conto della sostanza delle sue disposizioni, ma anche di come sono applicate in concreto. Difatti, solo guardando all’attuazione in concreto delle norme è possibile concludere che il trasferimento internazionale dei dati non pregiudica l’effettiva tutela dei dati personali degli interessati. Posto che la nuova normativa statunitense, anche qualora fosse adeguata nella sostanza, si trova ancora all’inizio della fase di implementazione, e che le autorità pubbliche devono ancora adattare le proprie prassi alle nuove norme, non è possibile per la Commissione giungere ad un fondato giudizio sul livello effettivo di tutela, in concreto, dei dati personali negli Stati Uniti. Secondo il Parlamento, la Commissione dovrebbe adottare la decisione di adeguatezza solo una volta che ha potuto acquisire tutte le informazioni necessarie ad un giudizio completo ed accurato, in assenza del quale continuerebbe ad esservi incertezza sulla legittimità della decisione. In ogni caso, la mancanza di trasparenza sulle decisioni del tribunale istituito con l’ordine esecutivo potrebbe rendere difficoltosa la valutazione sull’applicazione in concreto delle nuove norme negli Stati Uniti.
Precedentemente alla risoluzione del Parlamento, il Comitato europeo per la protezione dei dati aveva già rilasciato un’opinione[7], in data 28 febbraio 2023, sulla bozza di decisione di adeguatezza della Commissione, segnalando, al pari del Parlamento, molteplici criticità e sostenendo che, nonostante il miglioramento dell’ordinamento statunitense rispetto alla situazione antecedente a Schrems II, tali criticità dovrebbero essere affrontate prima di procedere con l’adozione della decisione di adeguatezza.
È interessante osservare come il Parlamento abbia posto l’accento, nella propria risoluzione, sull’esigenza di assicurare certezza del diritto per i cittadini e gli enti dell’Unione, evitando di sancire l’adeguatezza dell’ordinamento statunitense quando permane il rischio che la decisione sia invalidata in futuro dalla Corte di Giustizia. Difatti, la caduta del c.d. ‘Privacy Shield’ con la sentenza Schrems II aveva generato una situazione di crisi ed incertezza nell’Unione e negli Stati Uniti. Il Parlamento ha pertanto invitato la Commissione ad assicurare che ciò non si verifichi ancora, procedendo con l’adozione della decisione di adeguatezza solo nel momento in cui non vi siano criticità che potrebbero non passare il sindacato giurisdizionale della Corte di Giustizia.
Resta da vedere quali saranno i prossimi passi della Commissione alla luce delle osservazioni del Parlamento. Non è escluso che la decisione di adeguatezza sarà adottata nella sua forma attuale. Tuttavia, la pressione politica del parlamento, in combinazione con l’opinione del Comitato europeo per la protezione dei dati, potrebbero portare ad una riapertura del dialogo con gli Stati Uniti al fine di colmare le attuali lacune.
[1] Si veda il comunicato stampa disponibile al seguente LINK.
[2] Si veda il comunicato stampa disponibile al seguente LINK.
[3] Sentenza della Corte di Giustizia del 16 luglio 2020 nella causa C-311/18, c.d. ‘Schrems II’.
[4] Si veda la bozza di atto di esecuzione della Commissione disponibile al seguente LINK.
[5] Regolamento (UE) 2016/679 del Parlamento europeo e del Consiglio del 27 aprile 2016 relativo alla protezione delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati e che abroga la direttiva 95/46/CE (regolamento generale sulla protezione dei dati), GUUE L 119 del 4.5.2016.
[6] Si veda la procedura di comitato di cui all’articolo 5 del regolamento (UE) n. 182/2011.
[7] Si veda l’Opinione n. 5/2023 del Comitato adottata in data 28 febbraio 2023, Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework.